Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Для достижения поставленной цели были проведены следующие мероприятия:

• формирование требований к защите ПДн, обрабатываемых в информационной системе персональных данных (далее – ИСПДн);

• разработка профиля защиты персональных данных ИСПДн.

Формирование требований к защите ПДн заключалось в:

• принятии решения о необходимости обеспечения безопасности персональных данных, которые обрабатываются в информационной системе;

• классификации информационной системы отдела по требованиям безопасности информации;

• определении предполагаемого потенциала вероятного нарушителя, определении угроз безопасности информации и выявлении из их числа актуальных, реализация которых приводит к нарушению безопасности информации, и, как следствие, разработке модели угроз безопасности информации;

• определении требований к системе защиты персональных данных, обрабатываемых в ИСПДн.

После формирования требований к защите ПДн началось непосредственно проектирование системы защиты ПДн, которое заключалось в:

• определении организационных и технических мер защиты информации;

• определении типов и видов средств защиты конфиденциальной информации, имеющих сертификат соответствия требованиям безопасности информации и обеспечивающих реализацию технических мер защиты;

• определении параметров настройки программного обеспечения;

• определении структуры системы защиты персональных данных, включая количество и места размещения её элементов;

• определении мер защиты информации при передаче защищаемой информации в иные информационные системы через сети общего пользования.

При разработке системы защиты информации, обрабатываемой в информационной системе персональных данных отдела, очень важно иметь четкое представление о структурно-функциональных характеристиках информационной системы, а также условиях её эксплуатации.

ИСПДн по своей структуре представляет собой локальную информационную систему, элементы который расположены в одном здании. Автоматизированная обработка персональных данных отдела осуществляется на 5 автоматизированных рабочих местах и одном сервере.

В своей работе отдел передает защищаемую информацию, в частности персональные данные, в другие учреждения на законной основе, то есть информационная система отдела взаимодействует с информационными системами других учреждений.

Для обеспечения работоспособности информационной системы и работников отдела в целом, необходимо подключение к сетям общего пользования, в частности к сети Интернет.

Информационная система отдела является многопользовательской, то есть каждый сотрудник отдела, допущенный к работе в информационной системе имеет собственный логин и пароль для аутентификации и авторизации.

Каждый работник отдела, допущенный к работе в информационной системе имеет свои собственные права доступа к информации, перечень разрешенных действий в информационной системе и сферу ответственности.

Тем не менее, в информационной системе функции по управлению не распределяются между администраторами, а также не используются различные методы, повышающие безопасность, например, использование различных сетевых адресов или выделенных каналов для администрирования.

ВКР состоит из введения, четырех основных разделов, заключения, списка используемых источников и пяти приложений.

В первом разделе производится исследование объекта защиты. Представлены общие сведения о отделе, цели и задачи его деятельности, описание информационной системы отдела и существующие меры защиты. Проводится классификация ИСПДн отдела, определение вероятного нарушителя и актуальны угроз безопасности информации. Раздел делится на шесть подразделов:

• общие сведения об ИСПДн отдела;

• существующие меры защиты информации;

• классификация информационной системы персональных данных;

• модель нарушителя и угроз безопасности ПДн в ИСПДн отдела.

Во втором разделе осуществляется разработка системы защиты персональных данных в соответствии с требованиями законодательства РФ в области информационной безопасности. Раздел делится на шесть подразделов:

• определение набора организационных и технических мер;

• требования к защите персональных данных;

• технические средства защиты информации;

• организационные меры защиты информации;

• меры по противодействию актуальным угрозам безопасности информации;

• профиль системы защиты персональных данных.

В третьем разделе (раздел «Экономика») выполняется оценка затрат на создание и внедрение системы защиты персональных данных в информационную систему отдела.

В четвертом разделе (раздел «Безопасность жизнедеятельности»)

В списке использованных источников приводятся используемые документы, литература, Интернет-сайты, и другие источники информации, используемой в данной ВКР.

В приложении А приводится выписка из Заключения по результатам аудита информационной системы персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.

В приложении Б приводится выписка из Модели вероятного нарушителя и угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.

В приложении В приводится выписка из Аналитического обоснования необходимости создания системы защиты персональных данных в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.

В приложении Г приводится выписка из Технического задания на создание системы защиты персональных данных в информационной системе персональных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.

В приложении Д приводится выписка из Технического проекта на создание системы защиты персональных данных в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.

1. Исследование объекта защиты

1. Общие сведения об ИСПДн отдела бухгалтерского учета и отчетности.

Отдел бухгалтерского учета и отчетности является структурным подразделением в акционерном обществе «Акционерная компания «Железные дороги Якутии» и подчиняется генеральному директору компании.

ИСПДн отдела позволяет осуществлять сбор, хранение, использование и уничтожение персональных данных работников в базе данных, с целью ведения учета хозяйственной деятельности и отдельных аспектов кадрового делопроизводства, проведения расчетов заработных плат сотрудников, формирования различных внутренних отчетов, изменения и создания первичных и отчетных документов по аспектам кадрового делопроизводства.

Основными задачами отдела являются:

• формирование полной и достоверной информации о хозяйственных процессах и результатах деятельности предприятия, необходимой для оперативного руководства и управления, а также для использования налоговыми и банковскими органами, инвесторами, поставщиками, покупателями, кредиторами и иными заинтересованными организациями и лицами;

• обеспечения контроля за наличием и движением имущества и рациональным использованием производственных ресурсов в соответствии с утвержденными нормами, нормативами и сметами;

• своевременное предупреждение негативных явлений в хозяйственно-финансовой деятельности;

• выявление внутрипроизводственных резервов, их мобилизация и эффективное использование;

• оценка фактического использования выявленных резервов.

Информационная система персональных данных позволяет упростить и автоматизировать процесс хранения, обработки и передачи персональных данных для поддержания работоспособности отдела.

В информационной системе обрабатываются персональные данные иной категории персональных данных.

Администрированием информационной системы занимается один человек, назначенный приказом генеральным директора компании. Централизованное управления ЛВС и процесс администрирования ИСПДн производится несертифицированными ФСТЭК и ФСБ программным комплексом UserGate. Для отдела используется собственный контроллер домена, при помощи которого осуществляется администрирование рабочих станций и управление групповыми политиками безопасности. Доступ к управлению настройками контроллеров домена (далее – AD) осуществляется удаленно с АРМ Администратора (АРМ 5) либо непосредственно с самого сервера – контроллера домена, расположенного в серверной.

Администратор имеет доступ к установке и настройке программного обеспечения, изменению конфигурации устройств и сетей, управлению контроллерами доменов, а также имеет возможность подключаться ко всем АРМ пользователей удаленно со своего рабочего места.

Персональные данные хранятся распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.

Параметры ИСПДн отдела представлены в таблице А.1 приложения А.

Конфигурация ИСПДн и топология ЛВС отдела представлены на рисунках 1.1 и 1.2 соответственно.

Рисунок 1.1 – Конфигурация ИСПДн отдела

Рисунок 1.2 – Топология локальной вычислительной сети отдела

В отделе обрабатываются иные категории персональных данных, то есть персональные данные, не относящиеся к специальным, биометрическим и общедоступным категориям. Объем персональных данных, которые обрабатываются одновременно – менее 100 000 субъектов ПДн. В сегменте обрабатываются персональные данные не только сотрудников оператора, а именно:

• работников АО "АК "ЖДЯ";

• пользователей услуг АО "АК "ЖДЯ";

• физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ".

Отдел в своей деятельности обрабатывает следующий перечень персональных данных:

а) персональные данные работников АО "АК "ЖДЯ":

1. фамилия;

2. имя;

3. отчество;

4. пол;

5. дата рождения;

6. место регистрации и фактического проживания;

7. место рождения;

8. сведения об образовании;

9. сведения о неоконченном образовании;

10. сведения о состоянии в браке;

11. сведения о воинском учете;

12. дата прохождения аттестации;

13. решение комиссии об аттестации;

14. даты начала и окончания обучения;

15. вид повышения квалификации;

16. наименование учебного заведения;

17. вид документа о повышении квалификации;

18. данные об отпусках;

19. гражданство;

20. данные о детях;

21. сведения о знании языков;

22. расчетный счет;

23. номер страхового свидетельства государственного пенсионного страхования;

24. СНИЛС;

25. ИНН;

26. реквизиты документа о присвоении квалификационной категории;

27. профессия по штатному расписанию;

28. табельный номер;

29. должность;

30. объем работы по занимаемой должности;

31. подразделение;

32. разряд;

33. характер работы;

34. вид работы;

35. стаж работы;

36. основание исчисления стажа;

37. ставка;

38. тип документа, удостоверяющего личность;

39. реквизиты документа, удостоверяющего личность;

40. расчетный счет;

41. место работы;

42. страховой стаж;

43. оклад;

44. начисления;

45. средний заработок;

46. дата приема на работу;

47. дата увольнения;

48. дата выхода на пенсию;

49. льготы;

50. пособия;

б) персональные данные пользователей услуг АО "АК "ЖДЯ":

1. фамилия, имя, отчество;

2. дата рождения;

3. место рождения;

4. вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних - свидетельство о рождении или его нотариально заверенная копия);

5. пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);

6. дата поездки;

в) персональные данные физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ":

1. фамилия;

2. имя;

3. отчество;

4. ИНН;

5. СНИЛС;

6. банковский счет.

Отдел состоит из 5 АРМ и 1 сервера, на котором содержится база данных. Этот же сервер является контроллером домена для отдела.

Характеристики

Список файлов ВКР